Головна » Технології / Новини ІТ » Розумна вервиця Ватикана мала серйозну уразливість

Минулого тижня Ватикан оголосив про eRosary. Це розумна вервиця, яка працює через мобільний застосунок «Click to Pray» і коштує $ 110. Однією з переваг пристроїв IoT (інтернет речей) є те, що вони відкривають новий спосіб взаємодії людей з ресурсами. За словами Ватикана, за допомогою системи електронного щоденника люди можуть отримувати різні молитви кожен день, а також нагадування про те, коли молитися.




Дорога до спасіння, пов’язаного з інтернетом,
вимощена проблемами кібербезпеки

Але недоліком IoT-пристроїв є те, що вони також відкриті для проблем безпеки. Французький дослідник безпеки Батист Роберт виявив істотний недолік в додатку Ватикана протягом 15 хвилин. Ця уразливість дозволила б хакеру захопити обліковий запис людини, просто знаючи зареєстровану адресу електронної пошти потенційної жертви.

Роберт сказав, що зв’язався з Ватиканом, і проблема безпеки була швидко виправлена. Він сказав, що цей недолік є через те, як програма обробляє облікові дані для входу. Коли ви входите в програму «Click to Pray», ви входите через електронну пошту і замість встановлення пароля вона відправляє PIN-код на вашу поштову скриньку.

Розумна вервиця

Як працювала розумна вервиця

До виправлення проблеми, додаток відправляв запити на свій сервер для надсилання вам чотиризначного PIN-коду. Проблема полягала в тому, що сам PIN-код був також відправлений по мережі. Будь-хто, аналізуючи мережевий трафік, міг побачити відповідь з відправленим PIN-кодом.

Роберт продемонстрував цю уразливість за допомогою облікового запису, який було спеціально створено. Щоразу, коли він отримував доступ до облікового запису, додаток виводив людину з системи, повідомляючи, що вона ввійшла в систему на іншому пристрої. Програма також відправила електронний лист з новим PIN-кодом, який користувач не запитував.

Отримавши доступ, Роберт зміг зробити все, що міг. Він побачив стать, зріст, вагу і день народження користувача. А також фотографію кота, яку було використано для аватара. Він також видалив цей профіль і зміг отримати доступ до нового облікового запису, який було зроблено цим користувачем.

Додаток також реєструє іншу особисту інформацію, наприклад, як часто хтось молиться, і працює як фітнес-трекер. Розумна вервиця відстежує, скільки кроків і яку відстань було пройдено за день. Android-додаток також запитує доступ до даних про місцезнаходження і керує дозволами для здійснення дзвінків.

Якщо Ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.
Поділитися:

Новини партнерів

Правила коментування

Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.

  1. Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
  2. На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
  3. Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
  4. Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
  5. Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
  6. Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
  7. Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.

Схожі новини

Новини ІТ

Застосунок для зимових Олімпійських ігор, який мають використовувати всі учасники, містить уразливості в системі безпеки

За словами аналітиків, застосунок для зимових Олімпійських ігор у Пекіні, який мають використовувати всі учасники, містить уразливості в системі безпеки, через які користувачі зазнають витоку даних. Застосунок My2022 використовуватиметься спортсменами, глядачами та ЗМІ для щоденного моніторингу COVID-19. Він також пропонуватиме голосові чати, передачу файлів та олімпійські новини. Але Citizen Lab каже, що програма не може забезпечити шифрування багатьох […]


Новини ІТ

Apple готує виправлення для помилки Safari, що дозволяє сайтам розшифровувати активність у браузері

Днями Pingvin Pro повідомив про помилку в реалізації WebKit JavaScript API під назвою IndexedDB. Вона може розкрити вашу нещодавню історію переглядів у Safari і навіть вашу особу. Підписуйтесь на наш Telegram-канал Apple підготувала виправлення для цієї помилки. Але виправлення не буде доступне користувачам, поки компанія не випустить оновлень macOS Monterey, iOS 15 та iPadOS 15 з […]


Новини партнерів

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: